هجوم إلكتروني جديد يستهدف المطورين عبر إضافات Open VSX
الأمن السيبرانيالاختراقات والثغرات

هجوم إلكتروني جديد يستهدف المطورين عبر إضافات Open VSX

تصعيد خطير في هجوم GlassWorm: استغلال 72 إضافة في Open VSX لاختراق بيئات تطوير البرمجيات

ابراهيم الهياجمآخر تحديث: مارس 23, 2026

حذّر باحثو الأمن السيبراني من نسخة جديدة وأكثر تطورًا من حملة GlassWorm، مؤكدين أنها تمثل تصعيدًا كبيرًا في طريقة انتشار البرمجيات الخبيثة داخل مستودع الإضافات Open VSX Registry المستخدم مع محررات البرمجة المبنية على Visual Studio Code.

ووفقًا لتقرير نشرته شركة الأمن البرمجي Socket، فإن المهاجمين طوروا أسلوبًا جديدًا يسمح لهم بإدخال البرمجيات الخبيثة إلى الإضافات البرمجية بعد أن يكتسب المشروع ثقة المستخدمين، وهو ما يجعل اكتشاف الهجوم أكثر صعوبة.

مقالات ذات صلة

كيف تطورت طريقة الهجوم؟

في النسخ السابقة من الحملة، كانت الإضافات الضارة تحتوي مباشرة على برنامج التحميل الخبيث (Loader) داخل الحزمة نفسها.

لكن في الإصدار الجديد، أصبح المهاجمون يستغلون ميزتين في إضافات Visual Studio Code وهما:

  • extensionPack
  • extensionDependencies

وباستخدام هذه الآلية، يمكن لإضافة تبدو طبيعية وآمنة أن تقوم لاحقًا بتحميل إضافة أخرى مرتبطة بحملة GlassWorm دون أن يلاحظ المستخدم ذلك.

وهذا يعني أن الإضافة قد تبدو سليمة عند نشرها لأول مرة، ثم يتم تحديثها لاحقًا لتصبح وسيلة لنشر البرمجيات الضارة.

اكتشاف عشرات الإضافات الخبيثة

كشفت شركة Socket أنها رصدت 72 إضافة خبيثة إضافية في منصة Open VSX منذ 31 يناير 2026، وكانت تستهدف بشكل مباشر المطورين ومهندسي البرمجيات.

وقد صُممت هذه الإضافات لتقليد أدوات شائعة يستخدمها المطورون يوميًا مثل:

  • أدوات تدقيق الشيفرة (Linters)
  • أدوات تنسيق الكود (Formatters)
  • أدوات تشغيل البرامج
  • إضافات خاصة بالمساعدات البرمجية المعتمدة على الذكاء الاصطناعي مثل
    Claude Code وGoogle Antigravity.

ومن بين الإضافات التي تم اكتشافها وإزالتها لاحقًا من المستودع:

  • angular-studio.ng-angular-extension
  • crotoapp.vscode-xml-extension
  • gvotcha.claude-code-extension
  • mswincx.antigravity-cockpit
  • tamokill12.foundry-pdf-extension
  • turbobase.sql-turbo-tool
  • vce-brendan-studio-eich.js-debuger-vscode

وقد قام فريق Open VSX بإزالة هذه الإضافات بعد اكتشاف نشاطها الضار.

أهداف حملة GlassWorm

تُعد حملة GlassWorm من الحملات الخبيثة المستمرة التي تستهدف منصات تطوير البرمجيات، حيث تم رصدها سابقًا في متجر إضافات Microsoft Visual Studio Marketplace.

وتهدف البرمجيات المرتبطة بالحملة إلى:

  • سرقة مفاتيح الوصول والرموز البرمجية السرية
  • جمع بيانات الاعتماد الخاصة بالمطورين
  • سرقة العملات الرقمية من المحافظ الرقمية
  • استخدام الأجهزة المصابة كخوادم وسيطة في أنشطة إجرامية

استخدام تقنيات متقدمة لإخفاء البرمجيات الخبيثة

أظهرت التحقيقات أن المهاجمين يستخدمون تقنيات إخفاء متقدمة لتجنب اكتشافهم، ومن أبرزها:

  • إدخال أحرف Unicode غير مرئية داخل الشيفرة لإخفاء التعليمات الضارة
  • استخدام معاملات شبكة Solana لتحديد خوادم التحكم والسيطرة (C2)
  • تغيير محافظ العملات الرقمية باستمرار لتفادي التتبع

وقد تم رصد هذه التقنية في وقت سابق داخل حزم npm منذ مارس 2025.

انتشار الهجوم في GitHub ومستودعات مفتوحة المصدر

كشف تقرير آخر صادر عن شركة الأمن البرمجي Aikido Security أن المهاجمين تمكنوا من زرع تعليمات خبيثة في 151 مستودعًا برمجيًا على منصة GitHub خلال الفترة بين 3 و9 مارس 2026.

وقد تم إدخال هذه الشيفرات داخل تغييرات تبدو طبيعية مثل:

  • تحديثات الوثائق
  • رفع أرقام الإصدارات
  • إصلاح أخطاء برمجية
  • تحسينات صغيرة في الكود

ويعتقد الباحثون أن المهاجمين قد يستخدمون نماذج الذكاء الاصطناعي التوليدي لإنشاء هذه التعديلات بطريقة مقنعة لتجنب الشكوك.

حملات خبيثة أخرى مرتبطة بالمستودعات البرمجية

في سياق متصل، كشفت شركة Endor Labs عن اكتشاف 88 حزمة خبيثة على منصة npm تم نشرها عبر 50 حسابًا مؤقتًا بين نوفمبر 2025 وفبراير 2026.

وتضمنت هذه الحزم وظائف تهدف إلى:

  • سرقة المتغيرات البيئية من النظام
  • الوصول إلى رموز CI/CD
  • جمع معلومات النظام

وقد استخدمت هذه الحزم تقنية تسمى Remote Dynamic Dependencies (RDD) التي تسمح بتحميل الشيفرة الضارة من خادم خارجي، مما يتيح تعديلها لاحقًا دون الحاجة إلى نشر إصدار جديد من الحزمة.

مخاطر هجمات سلسلة التوريد البرمجية

تكشف هذه الحوادث عن تصاعد خطر هجمات سلسلة التوريد البرمجية، حيث يستهدف المهاجمون الأدوات والمكتبات التي يعتمد عليها المطورون يوميًا.

وبسبب اعتماد آلاف المشاريع على نفس المكتبات والإضافات، فإن اختراق أداة واحدة قد يؤدي إلى انتشار البرمجيات الخبيثة عبر عدد كبير من المشاريع والتطبيقات.

كيف يمكن للمطورين تقليل المخاطر؟

ينصح خبراء الأمن السيبراني المطورين باتباع عدة إجراءات للحد من هذه المخاطر، منها:

  • تثبيت الإضافات من مصادر موثوقة فقط
  • مراجعة الشيفرات المفتوحة المصدر قبل استخدامها
  • استخدام أدوات تحليل أمن سلسلة التوريد
  • تحديث بيئات التطوير باستمرار
  • مراقبة التبعيات البرمجية داخل المشاريع

خلاصة:

يشير التصعيد الأخير في حملة GlassWorm إلى أن بيئات التطوير والمستودعات البرمجية أصبحت هدفًا رئيسيًا للهجمات السيبرانية الحديثة. ومع تزايد الاعتماد على الإضافات والمكتبات مفتوحة المصدر، أصبح تأمين سلسلة التوريد البرمجية ضرورة أساسية لحماية المطورين والمستخدمين على حد سواء.

 

 

الوسوم
ابراهيم الهياجمآخر تحديث: مارس 23, 2026

مقالات ذات صلة

إصدارات جديدة من cPanel وWHM تسد ثلاث ثغرات أمنية خطيرة.. والتوصية بالتحديث الفوري

إصدارات جديدة من cPanel وWHM تسد ثلاث ثغرات أمنية خطيرة.. والتوصية بالتحديث الفوري

مايو 9, 2026
Google تطلق درعًا جديدًا لحماية Android من هجمات التوريد

Google تطلق درعًا جديدًا لحماية Android من هجمات التوريد

مايو 6, 2026
اختراق 30 ألف حساب فيسبوك عبر حملة تصيّد تستخدم Google AppSheet

اختراق 30 ألف حساب فيسبوك عبر حملة تصيّد تستخدم Google AppSheet

مايو 2, 2026
حزمة التصيّد Bluekit الجديدة تتضمن مساعدًا بالذكاء الاصطناعي

حزمة التصيّد Bluekit الجديدة تتضمن مساعدًا بالذكاء الاصطناعي

مايو 2, 2026
زر الذهاب إلى الأعلى